业务背景：

      在中国，云计算市场规模不断扩大。三大电信运营商已建成规模化行业云平台，各省市政务云也已基本完成一期建设，同时金融、零售、教育、物流、医疗、制造、传媒等行业云也在此趋势下蓬勃发展，整体形成了较为良好的发展态势。然而，资源集中使云平台更容易成为黑客攻击的目标，云上的安全问题也更加突出。安全顾虑已成为用户上云的最大阻力。IDC调研显示，云计算所面临的挑战汇中，安全问题排在首位。

风险与挑战：

     1、平台缺乏安全全局监测和快速响应能力，以防御为主的安全方案能够让云平台及用户具备应对网络攻击的能力，但是由于缺乏全局的安全检测能力，云平台运营方不得不面对碎片化的安全管理界面，不仅安全运维效率低下，而且加重了运营方的工作强度。最终导致未能及时发现安全风险。与此同时，由于缺乏快速响应能力导致不能及时处置云平台中发生的安全事故，使得攻击的危害进一步蔓延到其他资产，造成更大的损失。

     2、云用户安全需求难以满足，传统云平台安全架构仅能够对用户提供通用的安全策略，不能适用于所有用户。用户因而不能根据自身业务需求选择和管理安全组件，这将放大用户业务系统“上云”后安全责任难以界定等风险，从而对“上云”产生顾虑。另外，不适用的安全策略也会影响用户业务系统通过等保测评。

     3、云平台安全合规风险，根据等保2.0/GBT 31167等云安全政策要求，云服务商必须满足安全合规要求并通过相关安全审查，具备保障用户数据和业务系统安全的能力。当用户业务系统进行等保测评时，首先应关注云平台是否已经测评，如未测评，则无法开展对用户系统的测评。

解决思路：

      1、落实平台自身安全合规，云平台自身安全应遵照等保2.0要求，基于云平台业务特性，从云平台边界安全防护、宿主机及虚拟化安全和云管理平台安全出发，在满足合规的基础上，对云平台提供持续保护。

      2、构建安全事件快速响应能力，基于网络安全感知平台，通过边界、端口安全设备与平台的联动工作机制，以及平台与深信服安全服务专家的联动机制。可实现针对安全事件的快速响应，包括边界安全网关对可疑IP的一键封锁，终端安全软件对可疑文件的一键隔离/查杀，以及基于安全服务专家对安全事件进一步的分析定位，快速找出威胁根源、及时处置，并针对事件溯源分析，提供修复和加固建议。

      3、为用户/业务提供安全能力，为打消用户上云对安全风险的顾虑，云平台应能够为云用户业务系统提供池化的安全资源服务，可基于软件定义的安全资源池、OpenAD等高性能的安全硬件设备和云眼/云盾等安全云服务，供用户自行选用和配置安全策略。除此以外，针对PaaS/SaaS等云服务模式，云平台应基于池化安全资源服务和应用自身的访问控制策略和安全加固措施，共同保障业务安全。

      4、统一管理，实现安全全局监测，通过在安全运营中心构建网络安全感知平台，可帮助云平台运营者实现对云内所有安全事件的全局监测和统一管理。在各业务区部署流量检测探针，实现对云内资产日志及网络流量的统一采集与分析。当资产的脆弱性风险和网络攻击等安全威胁出现时，可在第一时间发现问题，并于全网海量资产中实现威胁的精确定位。通过平台的大数据分析能力，还原攻击链，对事件进行溯源分析，以便进一步的电子取证, 节约企事业单位对通信链路的投资成本。

深信服云安全方案框架图：